종합정보시스템(KTIS) ‘보안 구멍’, 우리학교 학생 개인정보 노출돼 (901호 1면)

관리자 페이지 무방비로 노출…피해 파악 어려워

본지의 취재 결과, 일반 학생이더라도 KTIS의 특정 URL에 접속하면 학생들의 개인정보가 담긴 ‘학적부’의 조회가 가능했다는 사실이 밝혀졌다. 학적부에는 검색된 학생의 주민등록번호, 거주지뿐 아니라 학점과 장학 수혜 내역 등의 중요 정보가 기록돼 있으며, 졸업생의 정보도 연도에 관계없이 열람이 가능해왔던 것으로 드러났다.

또한 URL의 주소 중 세 자리 숫자만 특정 숫자로 바꾸면 ▲학적변동조회 ▲출신학교 동문찾기 ▲재적생 명단 ▲교환학생승인관리 ▲조기졸업신청승인 등의 항목에도 접속이 가능했다. ‘조기졸업신청승인’에서는 조기졸업을 신청한 학생의 학점과 전화번호 등의 기본 정보를, 교환학생 관련 항목에서는 외국인 학생의 신상 정보도 조회할 수 있었다. 이외에 ▲학과별 전공정원관리 ▲제1전공신청(선택)및 결과조회 ▲어학연수 관리 ▲국내대학 교류신청 등의 항목도 노출됐다.

그렇다면 관리자 페이지가 어떤 경로를 통해 노출된 것일까. 현재 KTIS 페이지는 크게 학생용과 직원용, 교수용으로 나뉜다. 그런데 학생용 페이지에서 ‘Shift’ 키를 누르고 새 창을 띄워 특정 항목의 URL을 알아낸 후, 앞서 언급된 대로 일부 주소를 변조하면 관리자 페이지에 접속이 가능했던 것이다.

학교는 본지와의 인터뷰 이후 열람이 가능했던 관리자 페이지를 차단하는 조취를 취했다. 정보통신처 장영근 과장은 “보안에 대한 개념이 희박하던 때에, 정보 시스템이 개발이 돼 문제점이 있어왔으나 그동안 외부에서 들어오는 해킹을 막고자 방화벽과 네트워크 보안 등에 신경을 써왔다”며 “그러나 내부에서 이런 일이 발생할 거라곤 크게 인지하지 못했던 것이 사실이다”라고 밝혔다.

사태의 시작 시점도 가늠하기 어려워
더 큰 문제는 이러한 URL 유출이 언제부터 시작된 것인지 알 수 없다는 점이다. 권태환(경영·2)군은 “3년 전, 한 선배로부터 KTIS로 국민대 전체 재학생 개인정보를 볼 수 있다는 말을 들었다”며 “그땐 한 귀로 듣고 흘렸었는데 실제로 우리학교의 몇몇 학생들이 KTIS 관리자 페이지에 접근하는 방법을 안다는 소문을 들었다”고 밝혔다. 또 권 군은 “나와 같은 컴맹도 조금만 관심을 가지고 3분 만에 쉽게 접속했으니 종합정보시스템이 생긴 이래 그동안 학생들의 개인정보는 적지 않게 노출됐을 것이다”라고 말하면서 “학교는 학생들이 편한 마음으로 공부할 수 있는 여건을 조성하기 위해 앞장서야 하는데 KTIS가 허점을 안고 수년째 방치됐다“며 분통을 터뜨렸다.

실제로 KTIS가 2003년에 구축됐다는 것을 감안할 때, 지난 10년간 정보 노출의 가능성이 존재해왔음에도 이를 파악하지 못한 것이다. 이런 상황에서 우리학교 학생들의 개인정보가 얼마만큼 유출됐는지, 누가 어느 목적으로 정보를 조회했으며 어디로 정보가 새나갔는지 현재로선 알 수 있는 방법이 없는 실정이다. 장영근 과장은 “학생들의 개인정보가 어떻게 도용됐는지에 대해선 탐지하기가 쉽지 않다”며 “특정 접근 기록에 대해 분석하는 건 대략적으로 추정할 뿐이지, URL을 파악한 학생들이 어떻게 사용했는지 현재로선 알 수가 없는 상황”이라는 입장을 밝혔다.
이번 사태에 대한 학교의 책임에 대해 이동기(공법)교수는 “학교의 고의는 내부공모자가 없는 한 인정되기 쉽지 않을 것으로 생각되고, 정보 노출에 대한 손해배상은 피해자가 구체적으로 어떤 정보에 대한 노출로 피해를 입었는지 입증하는 경우에 한해 받을 수 있을 것이다”라고 답했다.

한편 권 군은 “KTIS 관리자 페이지를 통해 수강신청을 자유자재로 한다는 루머를 들은 바 있는데 이것도 사실일 확률이 매우 높다”고 의혹을 제기했다. 이에 대해 학교 측은 “수강 신청과 성적 관련 페이지는 중요한 사안이므로 접근 자체가 불가능하고 설령 수정할 수 있다하더라도 기록이 남기 때문에 변경이 없었을 것”이라고 밝혔다.

학교, 차세대 시스템 구축하기로
학교는 긴급회의 이후 본지와의 재인터뷰를 통해, 사태의 해결책 중 하나로 보안과 웹접근성 및 편리성을 강화한 ‘차세대 시스템’을 구축하겠다는 입장을 알려왔다. 차세대 시스템 구축은 ▲예산 확보 ▲구성원 의견 수렴 ▲기존 시스템의 보완점 도출 등의 절차를 거치면 최소 1년 정도의 기간이 소요될 전망이다. 정보통신처 박성호 부장은 “차세대 시스템 구축 비용은 최소로 잡는다고 해도 30억원 이상이 들 것”이라며 “또한 타 대학의 사례를 보면 보통 구축 비용에 100억원 정도가 소요돼 적지 않은 예산이 필요하므로 현재 상태로는 바로 착수하기가 어렵다”고 말했다. 이어 박 부장은 “차세대 시스템에 관한 개발 착수는 종합적인 고려 과정을 거쳐 대략 이번 연말에 시작할 것으로 예상하고 있다”고 밝혔다.

학교는 정보 노출과 관련해 책임을 통감하며 재발 방지를 위해 노력할 것이라는 입장을 표했다. 박성호 부장은 “외부 보안에 노력을 다해왔지만 결론적으로 내부 보안을 간과해 이런 일이 벌어졌다”며 “이번 기회를 통해서 정보 시스템이 한층 더 견고해지고 발전하는 계기가 됐으면 하는 바람이며 학생도 학교 구성원으로서 정보시스템의 잘못된 부분을 발견하면 학교에 조언해줬으면 한다”고 말했다.

고동완 기자 
kodongwan@kookmin.ac.kr

기사 링크 : http://press.kookmin.ac.kr/site/main/view.htm?num=11318